GDPR et Sécurité

25 mai 2018

Le GDPR, ou RGPD en français, est le règlement européen qui renforce le droit des utilisateurs en matière de données personnelles. Il entrera en application le 25 mai 2018 et toutes les organisations ou presque, privées comme publiques, sont concernées. Ce règlement vise à adapter l’Europe aux changements opérés par le numérique, en rendant aux citoyens le contrôle de leurs données personnelles par le biais de nouveaux droits à la personne. En effet, la portabilité des données sous un format utilisable, ou le droit à l’oubli avec la suppression des données sous certaines conditions sont désormais inscrits dans un texte ayant force légale.

Les entreprises se voient donc imposer de nouvelles obligations et doivent se structurer pour y répondre. La technologie joue un rôle important dans l’organisation en place puisque : les entreprises vont devoir savoir à tout moment de quelles données elles disposent, connaître leur localisation dans le SI, l’objectif de leur collecte et leur mode de gestion, de stockage, de sécurisation, de transfert et d’effacement. Elles devront de plus être en mesure de déceler si leur intégrité a été compromise et y remédier très rapidement, tout en consignant et notifiant l’événement. De plus, les entreprises devront le déclarer auprès des autorités compétentes, au plus tard, 72h après avoir eu connaissance du vol de données, sous peine d’être en infraction avec le texte. Les pénalités pour non-respect de conformité au GDPR peuvent s’élever jusqu’à 4% du CA de la maison mère… ce qui donne à réfléchir.

Le chantier s’annonce donc important pour tout le monde et vous devez être prêts pour le 25 mai 2018.

GDPR : les notions clés

On ne peut pas entrer dans le sujet du GDPR sans connaître certaines notions clés. Les voici expliquées en quelques lignes.

La donnée à caractère personnel : il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, de manière directe ou indirecte. On peut d’ailleurs classer les données en trois grandes familles : personnelles, personnelles sensibles, génétiques ou biométriques.

Le consentement : le consentement de l’utilisateur à donner ses données personnelles doit être fait librement, par le biais d’une information facilement compréhensible et précisant dans quel but se fait la collecte afin que le consentement soit fait sans ambiguïté.

Le traitement des données personnelles : toute opération effectuée ou non à l’aide de procédés automatisés et appliquée à des données.

Le « Privacy by design » : il s’agit de prendre en compte la protection des données personnelles dès la conception des produits ou services.

La conservation : la conservation des données est limitée dans le temps, elles doivent ensuite être supprimées ou anonymisées.

La GDPR et la technologie.

Quand on se penche sur le texte européen, on constate que sur 99 articles, un seul concerne expressément la technologie, il s’agit de l’article 32 que voici :

1) Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2) Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3) L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément attestant du respect des exigences prévues au paragraphe 1 du présent article.

4) Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.

On comprend donc très vite que la problématique du GDPR n’est pas exclusivement technologique mais, bien au contraire, principalement organisationnelle.

Comment avancer ?

D’abord, il faut désigner un DPD ou délégué à la protection des données. Sa mission : informer, être responsable du traitement et conseil auprès des employés, contrôler le respect des obligations issues du RGDP, vérifier l’exécution de l’analyse d’impact sur les données personnelles, coopérer et faire office de point de contact avec la CNIL. Il est obligatoire pour les organismes et autorités publiques, pour les organismes traitant des données sensibles et pour les organismes dont les activités exigent un suivi régulier et systématique à grande échelle de personnes concernées.

Ensuite, il faut faire un état des lieux pour connaître le niveau de conformité global actuel et identifier les points de mise en conformité. Il faut donc étudier la sécurité du Système d’Information, les flux de données entrants et sortants avec les partenaires et fournisseurs, la gestion personnelle des données des salariés, les processus interne de gestion de la donnée. Bien entendu, ces premières actions vont varier en fonction de la taille des entreprises. Des entretiens seront à conduire avec les différents responsables de pôle ou de services : sécurité et réseau, service client, commerce et marketing, ressources humaines… afin de cartographier au mieux l’organisation et la gestion de la donnée.

Il faudra également vérifier l’ensemble des points contractuels qui régissent les échanges de données avec un tiers afin de vérifier la finalité du traitement, le type de données transmises, les catégories de personnes concernées, l’objet et la durée de conservation des données. En cas d’externalisation, les contrats doivent obligatoirement prévoir une fin avec une date de suppression des données et/ou l’anonymisation.

Il faut veiller à bien mettre en évidence tous les traitements sur les données personnelles afin de faire ressortir : la date de création, les données traitées, les personnes concernées par le traitement, la localisation des données, la durée de conservation, les mesures de sécurité, l’information donnée aux personnes.

L’objectif de cette première analyse est d’avoir une vision aussi précise que possible afin de dresser un plan d’actions réaliste et adapté.

En parallèle, les entreprises vont devoir rédiger un code de conduite, ou charte, rappelant les principes applicables du GDPR, le rôle et les responsabilités de chaque intervenant, les procédures de traitement des données, les modalités d’exercice des droits des personnes… mais la liste des documents à produire pour être en conformité avec la directive ne s’arrête pas là. Il faut en effet également lister les traitements, les réponses types aux demandes effectuées par les personnes concernées par le GDPR, et avoir la lettre de mission du DPD, son contrat de travail ou avenant.

Enfin, les entreprises vont devoir sensibiliser leur personnel, ce qui peut se faire au travers d’ateliers, et mettre en place des communications régulières, comme des lettres d’information, pour ancrer le changement dans les mentalités.

Et côté technique ?

Il va aussi falloir protéger la donnée lors de sa collecte, son stockage et son traitement notamment par le biais de systèmes de chiffrement et d’authentification fort, ainsi qu’avec une gestion des droits plus fine sur les traitements des données. Il faut ensuite mettre en place des solutions permettant de détecter les menaces et d’identifier l’impact de la fuite de données dans des délais très courts.

Désormais la CNIL a un pouvoir de contrôle à distance. Elle va pouvoir vérifier la présence des mentions légales obligatoires, le mécanisme de dépôt des cookies et autres traceurs, la présence des mentions légales informatives sous les formulaires, l’absence de collecte de données sensibles, la présence de données personnelles accessibles au public, la sécurité du site. Il faut donc veiller à être en conformité avec ce qui est attendu d’un site internet.

Comme il n’existe pas de solution « tout inclus » ou « out of the box » pour reprendre le terme anglais, il vaut mieux être bien accompagné sur la mise en œuvre du GDPR, notamment sur la partie technique, vu les garanties de sécurité demandées. Aussi, nous sommes à votre disposition pour venir échanger avec vous sur les actions à conduire sur votre système d’information, afin qu’il réponde aux nouvelles règles qui vont s’appliquer dans quelques mois seulement…

Pour aller plus loin :

Textes officiels

Comprendre le règlement européen

Se préparer au règlement européen

6 étapes de la préparation

GDPR : Que dit le nouveau règlement européen sur les données personnelles ?

RGPD : le crucial volet informatique de la protection des données